6
Hat jemand hier Erfahrung mit Secure-Boot Powershell-cmdlets?
Moin Kollegen.
Die Situation in Kürze: eine Verschlüsselungs-Software möchte den Windows-Bootloader gegen ihren eigenen tauschen. Dies misslingt auf dem vorgesehenen Wege.
Der Herstellersupport sagt, es scheint ein Problem mit der UEFI/Secureboot-Implementation von Lenovo vorzuliegen - kurzum, er weiß keine Lösung.
Ich frage mich/Euch nun, ob man mit den Powershell-cmdlets Format-SecureBootUEFI und Set-SecureBootUEFI etwas erreichen könnte.
Hat jemand von Euch mit diesen schon gearbeitet und könnte einen Platformkey einpflegen, der als Download vorliegt?
[Nein, im Bios des Gerätes gibt es keine Option, dies zu tun]
Die Situation in Kürze: eine Verschlüsselungs-Software möchte den Windows-Bootloader gegen ihren eigenen tauschen. Dies misslingt auf dem vorgesehenen Wege.
Der Herstellersupport sagt, es scheint ein Problem mit der UEFI/Secureboot-Implementation von Lenovo vorzuliegen - kurzum, er weiß keine Lösung.
Ich frage mich/Euch nun, ob man mit den Powershell-cmdlets Format-SecureBootUEFI und Set-SecureBootUEFI etwas erreichen könnte.
Hat jemand von Euch mit diesen schon gearbeitet und könnte einen Platformkey einpflegen, der als Download vorliegt?
[Nein, im Bios des Gerätes gibt es keine Option, dies zu tun]
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 523637
Url: https://administrator.de/forum/hat-jemand-hier-erfahrung-mit-secure-boot-powershell-cmdlets-523637.html
Ausgedruckt am: 14.04.2025 um 18:04 Uhr
6 Kommentare
Neuester Kommentar
Hi,
mir fällt nur UEFI - CSM ein.
Option:
1. mit
2. ohne
Je nach Hersteller im Bios anders einstellbar.
Gruß
Holli
mir fällt nur UEFI - CSM ein.
Option:
1. mit
2. ohne
Je nach Hersteller im Bios anders einstellbar.
Gruß
Holli
Äh... was hat das nun mit der Frage zu tun?
Es geht darum, wie man von Windows aus signierte Bootloader erlauben könnte.
Es geht darum, wie man von Windows aus signierte Bootloader erlauben könnte.
Das hier wird Deiner Frage nicht wirklich gerecht werden, aber ich finde folgende Passage interessant:
Das heißt für mich, dass Du nicht umhin kommen wirst, sowohl PK als auch KEK aus solch einem Client zu ersetzen und die diese selbst zu erzeugen.
Nur dann erscheint es mir nach diesem Text möglich, überhaupt eigene "selbstzertifizierte" Bootloader einsetzen zu können.
When you sign bootloader with your own key you need to add the hash of the image, certificate hash or CA certificate to the UEFI database. In order to add this key to the allowed signature database (db) you need to own the KEK key (owned by the Operating System vendor). Updating the KEK database is also not possible because it is protected by the PK (platform key – owned by the Platform Vendor). So the only solution would be to clear the platform key (PK) and import your own. Then generate and add to UEFI your own KEK and certificate used to sign the custom bootloader.
Das heißt für mich, dass Du nicht umhin kommen wirst, sowohl PK als auch KEK aus solch einem Client zu ersetzen und die diese selbst zu erzeugen.
Nur dann erscheint es mir nach diesem Text möglich, überhaupt eigene "selbstzertifizierte" Bootloader einsetzen zu können.
Ich habe nun vom Hersteller erfahren, dass es doch schon eine gefixte Version gibt. Wenn die läuft, ist die Auflösung nur noch Weiterbildung, aber zunächst nicht mehr nötig. Werde morgen weitersehen.
Danke soweit, bdmvgs
Danke soweit, bdmvgs
Der Fix hat gewirkt, somit verliert die Lösung an Bedeutung. Wer's dennoch weiß, gerne melden.
Danke für die Info!
